RECOMMANDÉ Montréal, le 7 mars 2016 Maître Andrée-Anne Labbé MCCARTHY TÉTRAULT S.E. N.C. R. L., S.R. L. 1000, rue de la Gauchetière Ouest Bureau 2500 Montréal (Québec) H3B 0A2 Objet : Enquête à l’endroit de la Clinique cosmétique Cruz Inc. N/Réf. : 101 10 55 La présente donne suite à l’enquête menée à l’initiative de la Commission d’accès à l’information (le Commission) à l’endroit de la Clinique cosmétique Cruz Inc. (l’entreprise). Objet de l’enquête Le 2 avril 2015, à la suite d’une information à l’effet que des documents contenant des renseignements personnels concernant des patients de l’entreprise ont été retrouvés dans les rues avoisinantes, la Commission a procédé à une enquête de sa propre initiative conformément aux articles 81 et 85 de la Loi sur la protection des renseignements personnels dans le secteur privé 1 . Enquête L’enquête visait à surveiller la conformité des pratiques de l’entreprise quant aux exigences de l’article 10 de la Loi sur le privé, à savoir le fait qu’une entreprise doit prendre des mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Le 4 juin 2015, deux enquêteurs de la Direction de la surveillance de la Commission ont rencontré M. …, docteur et propriétaire de l’entreprise (le docteur), en présence de son avocate, M e Andrée-Anne Labbé. La rencontre a eu lieu dans les locaux de l’entreprise. 1 RLRQ, c. P-39.1, la Loi sur le privé.
1011055 Page : 2 Lors de cette rencontre, les enquêteurs de la Direction de la surveillance de la Commission ont interrogé le docteur sur les circonstances entourant l’incident à l’origine de l’enquête, sur le nombre de personnes susceptibles d’être visées et sur les mesures prises à la suite de celui-ci. Le docteur a également été questionné relativement à la conservation et à la destruction des renseignements personnels qu’il détient au sujet des patients de l’entreprise. Les enquêteurs ont aussi pris des photos des locaux. Observations au terme de l’enquête Le 5 novembre 2015, la Commission transmet à l’entreprise un avis d’intention l’informant des dispositions législatives applicables et qu’à la lumière des éléments recueillis lors de la rencontre du 4 juin 2015, elle pourrait conclure que l’entreprise a contrevenu à l’article 10 de la Loi sur le privé. Cet avis indique, qu’en conséquence, la Commission pourrait - ordonner à l’entreprise de prendre les mesures nécessaires pour se conformer aux obligations imposées par la Loi sur le privé et d’informer la Commission des mesures retenues; - recommander à l’entreprise d’adopter une politique concernant la gestion et la protection des renseignements personnels qu’elle détient, notamment en ce qui a trait à la conservation et la destruction de ceux-ci; - recommander à l’entreprise de former ses employés afin qu’ils appliquent cette politique au sein de l’entreprise. La Commission invite, dès lors, l’entreprise à lui présenter ses observations écrites et à produire des documents afin de compléter le dossier dans les 30 jours de la date de réception de cet avis. Le 7 décembre 2015, l’avocate de l’entreprise fait parvenir à la Commission « la politique de [l’entreprise] relative à la gestion et à la protection des renseignements personnels sous son contrôle, adoptée récemment ». La Commission a pris connaissance de cette politique. Elle constate que cette dernière vise uniquement les mesures prises quant à la conservation et à la destruction des renseignements personnels. Le 21 janvier 2016, la Commission transmet à l’entreprise un nouvel avis d’intention dans lequel elle rappelle qu’au regard de l’article 10 de la Loi sur le privé, les mesures de sécurité qu’une entreprise doit prendre pour assurer la protection des renseignements personnels qu’elle détient, et ce, tout au long de
1011055 Page : 3 leur cycle de vie, doivent être raisonnables et tenir compte notamment de la sensibilité des renseignements, de leur qualité et de leur support. Elle rappelle également que des mesures de sécurité adéquates contribuent, non seulement à limiter les risques d’utilisation ou de communication inappropriée de ces renseignements personnels, mais aussi à encadrer la conservation et la destruction de ces renseignements. Elle rappelle aussi que, lors d’un évènement compromettant la confidentialité de renseignements personnels, une entreprise doit prendre les moyens nécessaires afin d’éviter ou de limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir et éviter qu’une telle situation se reproduise. La Commission accorde alors un délai supplémentaire à l’entreprise pour lui soumettre une nouvelle politique de gestion et de protection des renseignements personnels et pour lui indiquer quelles sont les mesures qu’elle entend prendre pour former ses employés afin qu’ils appliquent la politique adoptée au sein de l’entreprise. La Commission invite, dès lors, l’entreprise à lui présenter ses observations écrites et à produire des documents afin de compléter le dossier dans les 30 jours de la date de réception de cet avis. Elle précise que, sous réserve de ces compléments d’information, elle pourrait prononcer l’ordonnance et les recommandations prévues dans son avis d’intention du 5 novembre 2015. Le 25 février 2016, l’avocate de l’entreprise fait parvenir à la Commission la nouvelle politique de l’entreprise relative à la gestion et à la protection des renseignements personnels sous son contrôle. Conclusion La Commission a pris connaissance des documents transmis, le 25 février 2016, par l’avocate de l’entreprise, à savoir la politique de l’entreprise relative à la gestion et à la protection des renseignements personnels sous son contrôle à laquelle sont joints le Code de déontologie des médecins 2 et le Règlement sur les dossiers, les lieux d’exercice et la cessation d’exercice d’un médecin 3 . 2 RLRQ, c. M-9, r. 17. 3 RLRQ, c. M-9, r. 20.3.
1011055 Page : 4 Elle constate que la politique de l’entreprise précise, entre autres, le type de dossier concerné, la nature des renseignements susceptibles d’y être consignés, l’objet du dossier, l’utilisation qui sera faite des renseignements personnels, les personnes qui y auront accès au sein de l’entreprise, la durée de conservation de ceux-ci et des dossiers ou encore le lieu où seront conservés les dossiers. Elle constate également que des mesures sont prises par l’entreprise pour s’assurer que ses employés respectent leurs obligations en matière de protection des renseignements personnels. La Commission se déclare satisfaite des mesures mises en place par l’entreprise pour éviter qu’un évènement tel que celui à l’origine de l’enquête ne se reproduise. Par conséquent, la Commission ferme le présent dossier. Cynthia Chassigneux Juge administratif
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.